Registro de eventos de windows

Registro de actividad de Windows

El Visor de Eventos es un componente del sistema operativo Windows NT de Microsoft que permite a los administradores y usuarios ver los registros de eventos de una máquina local o remota. Las aplicaciones y los componentes del sistema operativo pueden utilizar este servicio de registro centralizado para informar de los eventos que han tenido lugar, como un fallo al iniciar un componente o al completar una acción. En Windows Vista, Microsoft revisó el sistema de eventos[1].

Debido a que el Visor de Eventos informa rutinariamente de errores menores de inicio y procesamiento (que, de hecho, no dañan el ordenador), el software es frecuentemente utilizado por los estafadores de soporte técnico para engañar a la víctima haciéndole creer que su ordenador contiene errores críticos que requieren soporte técnico inmediato[2] Un ejemplo es el campo “Eventos Administrativos” en “Vistas Personalizadas” que puede tener más de mil errores o advertencias registradas durante un mes.

El Visor de Eventos utiliza IDs de eventos para definir los eventos identificables de forma única que un ordenador Windows puede encontrar. Por ejemplo, cuando la autenticación de un usuario falla, el sistema puede generar el ID de evento 672.

Visor de eventos windows 11

Los registros de eventos son archivos especiales que registran eventos significativos en su computadora, como cuando un usuario se conecta a la computadora o cuando un programa encuentra un error. Cada vez que se producen este tipo de eventos, Windows registra el evento en un registro de eventos. Los usuarios pueden encontrar los detalles de los registros de eventos útiles cuando solucionan problemas con Windows y otros programas.

Lee más  ¿Dónde pasar Halloween en México?

A diferencia del syslog de UNIX, el registro de eventos de Microsoft no es un archivo de texto y es imposible verlo con editores de texto simples. El registro de eventos de Microsoft Windows es un archivo binario que consta de registros especiales: eventos de Windows.

Microsoft Windows ejecuta el servicio de registro de eventos para gestionar los registros de eventos, configurar la publicación de eventos y realizar operaciones en los registros. El servicio de registro de eventos de Windows expone una API especial, que permite a las aplicaciones mantener y gestionar los registros de eventos.

El registro de eventos de Windows se introdujo en el sistema operativo Windows NT (versión 3.1) en 1993. Esta edición de Windows venía con tres registros de Windows: Registro de eventos de la aplicación, Registro de eventos del sistema y Registro de eventos de seguridad. Las versiones modernas de Windows vienen con más de un centenar de registros de eventos de Windows, y las aplicaciones de terceros pueden crear e integrar en el registro de Windows sus propios registros de eventos.

Guía del visor de eventos

Muchas aplicaciones registran errores y eventos en registros de errores propios, cada uno con su propio formato e interfaz de usuario. Los datos de las distintas aplicaciones no se pueden fusionar fácilmente en un informe completo, lo que obliga a los administradores de sistemas o a los representantes del servicio técnico a comprobar diversas fuentes para diagnosticar los problemas.

El registro de eventos proporciona una forma estándar y centralizada para que las aplicaciones (y el sistema operativo) registren eventos importantes de software y hardware. El servicio de registro de eventos registra eventos de varias fuentes y los almacena en una única colección llamada registro de eventos. El Visor de Eventos le permite ver los registros; la interfaz de programación también le permite examinar los registros.

Lee más  ¿Dónde pasar el día cerca de Guadalajara?

Ubicación del registro de eventos

El método permitió al actor de la amenaza detrás del ataque plantar malware sin archivos en el sistema de archivos en un ataque lleno de técnicas y módulos diseñados para mantener la actividad lo más sigilosa posible.

Los investigadores de Kaspersky recogieron una muestra del malware después de que un producto de la compañía equipado con tecnología para la detección basada en el comportamiento y el control de anomalías lo identificara como una amenaza en el ordenador de un cliente.

El dropper copia el archivo legítimo de gestión de errores del sistema operativo WerFault.exe en ‘C:\Windows\Tasks’ y luego deja caer un recurso binario cifrado en el ‘wer.dll’ (Windows Error Reporting) en la misma ubicación, para secuestrar la orden de búsqueda DLL para cargar código malicioso.

Legezo dice que el propósito del dropper es cargar en el disco para el proceso de carga lateral y buscar registros particulares en los registros de eventos (categoría 0x4142 – ‘AB’ en ASCII. Si no se encuentra ningún registro de este tipo, escribe trozos de 8KB de shellcode cifrado, que posteriormente se combinan para formar el código del siguiente escalador.

Es probable que la nueva técnica analizada por Kaspersky esté en camino de hacerse más popular, ya que el código fuente para inyectar cargas útiles en los registros de eventos de Windows ha estado disponible en el espacio público durante un breve período.